Thực học, thực hành, thực danh, thực nghiệp Tên học phần: CHUYÊN ĐỀ TN – MMT&TT #1 Khoa: CÔNG NGHỆ THÔNG TIN Lab 4.2 – ZONE-BASED POLICY FIREWALL *** CHUẨN ĐẦU RA: - Triển khai Cisco Router hoạt động Firewall Vận dụng Zone-based Policy Firewall (ZPF) thiết lập sách truy cập bảo mật mạng qua IOS Router Triển khai ZPF mơ hình nhánh mạng nhánh mạng TÓM TẮT LÝ THUYẾT ZONE-BASED POLICY FIREWALL (ZPF):  Một hệ thống mạng không an toàn mà vùng mạng khác giao tiếp dễ dàng với mà không chịu khống chế / kiểm soát  Zone-based Policy Firewall (tường lửa dùng sách dựa vùng mạng) cho phép triển khai IOS Router hoạt động Firewall áp đặt sách bảo mật theo vùng mạng mà không cần dùng ACL  ZPF thiết lập sách (Inspection / pass / drop) kiểm duyệt gói tin ngang qua Firewall Router o Inspection: cho phép loại gói tin qua, đồng thời chấp nhận gói phản hồi (respond) từ đích đến (Destination) quay nguồn phát (Source) o Pass: cho phép loại gói tin qua, khơng chấp nhận gói phản hồi (respond) o Drop: ngăn chặn (hủy bỏ) loại gói tin đó, khơng cho qua Router  Mỗi vùng mạng (Zone) định nghĩa trước gán cho interface giao tiếp vùng mạng tương ứng o Quan trọng: interface gán thành viên Zone đó, tất traffic tới interface mặc định bị drop (hủy bỏ)  Cisco IOS Zone-Based Policy Firewall (ZPF) bao gồm thành phần: o Zone-pair (cặp zone): định hình hướng di chuyển traffic từ source zone sang destination zone Luồng traffic chịu kiểm duyệt Policy-map (chính sách) định nghĩa trước o Policy-map: sách (policy) đưa hành động (drop/ inspect / pass) cho loại thông tin phân loại Class-map định nghĩa trước o Class-map: bảng phân loại (classification) gói tin dựa theo protocol (giao thức) Access-list định nghĩa trước o Access-list: sử dụng ACL loại extension Phân loại gói tin dựa IP / Port Source Destination phân loại theo Protocols (ICMP, GRE, OSPF, EIGRP…) Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp  Hoạt động ZPF: o Traffic từ Zone1 sang Zone2 (gọi Zone-Pair) thực thi Policy-map o Nếu với Class-map (trong Policy-map) thực thi Action Nếu khơng xét Class-map o Tiếp tục xét hết Class-map Policy-map Triển khai Cisco Router hoạt động Firewall MƠ HÌNH MẠNG: - Mạng nội doanh nghiệp ABC kết nối internet qua Cisco Router mơ hình: - Triển khai phần mềm giả lập GNS3 VMware: o Cloud Noi-bo: dùng Cloud, lắp đặt (configure) card mạng VMNet1 o Cloud Internet: dùng Cloud, lắp đặt (configure) card mạng VMNet8 o Router R1: dùng Cisco IOS router chạy hệ điều hành loại “Advanced Security” o PC-1 PC-2: máy ảo VMware, kết nối mạng vào VMNet1 (chỉ cần máy) NHU CẦU TRIỂN KHAI: - Doanh nghiệp muốn triển khai Router hoạt động tường lửa (IOS Firewall) nhằm bảo vệ cho mạng nội Các nhu cầu bảo mật: o Tất truy cập trái phép từ bên internet vào bị ngăn chặn Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp - o Người dùng mạng nội phép giao tiếp máy bên internet Những giao thức cho phép giao tiếp liệt kê danh sách Ví dụ:  Cho PING ngồi  Cho truy cập dịch vụ mạng bên ngoài: DNS, Web (HTTP HTTPs), FTP, MSSQL, MySQL… o Trong tương lai, có phát sinh nhu cầu cho phép giao thức việc cấu hình phải đơn giản o Nếu tương lai, doanh nghiệp phát sinh mạng việc cấu hình sách cho nhánh mạng phải đơn giản Giải pháp thực hiện: o Sử dụng chức “Zone-based Policy Firewall” (ZPF) Cisco Router dùng IOS phiên “Advanced Security” GỢI Ý THỰC HIỆN: - Quy hoạch IP address cho mạng nội Ví dụ là: 192.168.10.0 /24 Triển khai cấu hình Router, đáp ứng yêu cầu: cho phép mạng nội truy cập internet qua Router: - Gán IP động cho Outside interface: R(config)# interface R(config-if)# ip address dhcp - Gán IP tĩnh cho Inside interface: R(config)# interface R(config-if)# ip address - chọn interface gán IP động chọn interface gán IP tĩnh Cấu hình NAT Overload cho máy thuộc mạng Nội Bộ truy cập internet: o Chỉ định interface thuộc inside (bên trong) outside (bên ngoài) R(config)# interface R(confg-if)# ip nat o Lập access-list gồm danh sách IP phép giao tiếp qua chế NAT overload Router R(config)# access-list permit o Cấu hình NAT overload R(config)# ip nat inside source list interface overload - Lệnh cấu hình DHCP server Cisco Router: (config)# ip dhcp pool # network # default-router # dns-server Chuyên đề MMT&TT #1 tạo DHCP pool Network IP address cấp phát Cấp phát Default gateway Cấp phát DNS Server Trang Thực học, thực hành, thực danh, thực nghiệp Kiểm tra trạng hoạt động mạng công ty ABC trước triển khai ZPF: - Máy PC dùng IP động => nhận thông số IP từ Router - Máy PC giao tiếp internet (PING truy cập We, FTP, Game…) Triển khai “Zone-based Policy Firewall” (ZPF) Cisco IOS Router: 3.1 Thực nghiệm triển khai ZPF Cisco Router với Class-map rỗng:  Phần thực nghiệm cấu hình sách kiểm sốt giao tiếp từ vùng mạng nội (LAN) vùng mạng internet (WAN) Bao gồm thao tác: Định nghĩa vùng mạng (zone) Tạo Class-map rỗng (chưa đặt vào sách kiểm sốt cho phép nào) Tạo Policy-map cho Zone-pair: đặt hành động cho sách inspection Tạo Zone-pair: kiểm sốt luồng thơng tin (traffic) từ mạng nội (source) internet (destination) o Gán zone tạo vào interface tương ứng o o o o  Việc triển khai sách sau đơn giản: o Chỉ cần hiệu chỉnh sách Class-map o Gộp mạng có nhu cầu bảo mật giống vào Zone 3.1.1 Định nghĩa Zone: - Chia mạng doanh nghiệp ABC thành vùng mạng: o LAN-zone: vùng mạng nhân viên o WAN-zone: vùng mạng internet DMZ (nơi chứa Server cung cấp dịch vụ) - Dùng lệnh “zone security …” để định nghĩa zone-based tương ứng vùng mạng công ty XYZ Đặt tên vùng mạng là: LAN WAN Xem minh họa: R0(config)# zone security LAN R0(config)# zone security WAN 3.1.2 Tạo Class-map: - Tạo bảng phân loại gói tin (class-map) rỗng, đặt tên LAN_WAN_CLS Minh họa: R0(config)# class-map type inspect LAN_WAN_CLS R0(config-cmap)# exit 3.1.3 Tạo Policy-map: - Tạo bảng sách (policy-map) tên LAN_WAN_POL, thực kiểm sốt (inspect) gói tin khớp với bảng phân loại LAN_WAN_CLS Minh họa: R0(config)# policy-map type inspect LAN_WAN_POL R0(config-pmap)# class type inspect LAN_WAN_CLS R0(config-pmap-c)# inspect R0(config-pmap-c)# exit R0(config-pmap)# exit Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp 3.1.4 Tạo Zone-pair: - Tạo cặp zone-pair theo hướng: LAN -> WAN, kiểm soát policy-map tạo R0(config)# zone-pair security LAN_WAN source LAN destination WAN R0(config-sec-zone-pair)# service-policy type inspect LAN_WAN_POL R0(config-sec-zone-pair)# exit 3.1.5 Gán zone vào interface: Kiểm tra trạng mạng trước gán Zone vào interface: - Từ máy Client thuộc mạng nội bộ: o Dùng PING để kiểm tra giao tiếp với Router o Dùng PING 8.8.8.8 để kiểm tra kết nối internet o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8 - Từ máy Client thuộc mạng Internet: o Thử PING vào Outside interface Router o Ghi chú: xem IP interface Router le65nh “show ip int br” Thực gán Zone vào interface: - Lệnh “zone-member security …” để gán interface vào zone tương ứng Minh họa: R0(config)# interface f0/0 R0(config-if)# zone-member security LAN R0(config)# interface f0/1 R0(config-if)# zone-member security WAN Kiểm tra kết sau gán interface vào Zone: - Từ máy Client thuộc mạng nội bộ: o Dùng PING để kiểm tra giao tiếp với Router o Dùng PING 8.8.8.8 để kiểm tra kết nối internet o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8 o Truy cập Web bên - Từ máy Client thuộc mạng Internet: o Thử PING vào Outside interface Router - Kiểm tra khả kiểm soát (inspect) session Router lệnh: R0# show policy-map type inspect zone-pair sessions 3.2 Cấu hình sách ZPF theo u cầu:  Dựa ZPF có, việc triển khai sách đơn giản hiệu chỉnh bảng phân loại gói tin: Class-map  Các hiệu chỉnh Class-map có hiệu lực tức Zone-pair dùng Policymap tham chiếu đến Class-map Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp  Bảng phân loại (Class-map) tham chiếu phân loại gói tin từ nguồn: o Phân loại lệnh class-map:  lệnh: match protocol hoặc: match all o Phân loại theo Access-list:  lệnh: match access-group o Phân loại theo class-map khác:  lệnh: match class-map 3.2.1 - Cho phép PING (ICMP) từ LAN -> internet Hiệu chỉnh bảng class-map tên LAN_WAN_CLS cho phép giao thức ICMP Minh họa: R0(config)# class-map type inspect LAN_WAN_CLS R0(config-cmap)# match protocol icmp R0(config-cmap)# exit - Dùng lệnh: show class-map type inspect zone-pair sessions để xem lại class-map vừa hiệu chỉnh - Kiểm tra kết từ máy Client thuộc mạng nội bộ: o Dùng PING để kiểm tra giao tiếp với Router o Dùng PING 8.8.8.8 để kiểm tra kết nối internet o Truy cập Web bên - Kiểm tra khả kiểm soát (inspect) session Router lệnh: R0# show policy-map type inspect zone-pair sessions 3.2.2 - Cho phép dns, http, https, ftp từ LAN -> internet (classful) Hiệu chỉnh class-map tên LAN_WAN_CLS, bổ sung giao thức cho phép Minh họa: R0(config)# class-map type inspect LAN_WAN_CLS R0(config-cmap)# match protocol http R0(config-cmap)# match protocol https R0(config-cmap)# match protocol dns … R0(config-cmap)# exit o Ghi chú: lệnh match protocol ? để liệt kệ tất giao thức Cisco IOS định nghĩa sẵn o Hoặc: lệnh match protocol x? (x chữ đầu tên giao thức) để liệt kệ tất giao thức bắt đầu chữ - Dùng lệnh: show class-map type inspect để xem lại class-map vừa hiệu chỉnh Đảm bảo có đủ protocols lần hiệu chỉnh - Kiểm tra kết từ máy Client thuộc mạng nội bộ: o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8 o Truy cập Web bên Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp - Kiểm tra khả kiểm soát (inspect) session Router lệnh: R0# show policy-map type inspect zone-pair sessions 3.2.3 - Kết hợp thêm với ACL để chi tiết cho Class-map: Hiệu chỉnh class-map tên LAN_WAN_CLS tham chiếu vào Access-List LAN_WAN_ACL Minh họa: R0(config)# class-map type inspect LAN_WAN_CLS R0(config-cmap)# match access-group name LAN_WAN_ACL R0(config-cmap)# exit - Tạo Extended ACL tên LAN_WAN_ACL cấu hình sách chi tiết: o Ngăn chăn máy 192.168.10.10 truy cập Web (http https) Minh họa: R0(config)# ip access-list ext LAN_WAN_ACL R0(config-ext-nacl)# deny tcp host 192.168.10.0 any eq http R0(config-ext-nacl)# deny tcp host 192.168.10.0 any eq https o Cho phép tất máy mạng LAN kết nối “Remote Desktop” đến tất mạng khác Minh họa: R0(config)# ip access-list ext LAN_WAN_ACL R0(config-ext-nacl)# permit tcp any any eq 3389 - Kiểm tra kết từ máy Client có IP address 192.168.10.10: o Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server 8.8.8.8 o Truy cập Web bên - Từ máy Client mạng nội bộ: thử kết nối Remote Desktop với máy bên - Kiểm tra khả kiểm soát (inspect) session Router lệnh: R0# show policy-map type inspect zone-pair sessions Trường hợp doanh nghiệp phát sinh thêm vùng mạng DMZ: - Các nhu cầu bảo mật: o Tất truy cập trái phép từ DMZ vào mạng Nội bị ngăn chặn Chuyên đề MMT&TT #1 Trang Thực học, thực hành, thực danh, thực nghiệp - o Người dùng mạng nội phép PING đến máy bên DMZ o Các dịch vụ mạng (DNS, Web, FTP…) mà người dùng nội phép truy xuất vào Server vùng DMZ quy định theo danh sách (Access List) Bài tập Giải pháp thực hiện: o Tận dụng “Zone-based Policy Firewall” cấu hình phần o Xem mạng DMZ mạng Internet => đưa interface kết nối vùng DMZ làm thành viên (member) WAN zone - Các bước triển khai cấu hình Router: o Các cấu hình bản:  Gán IP address xác định NAT inside cho interface kết nối vùng DMZ  Bổ sung Network IP address vùng DMZ vào danh sách (ACL) cho phép NAT o Cấu hình NAT port cho phép bên ngồi truy cập dịch vụ Web cung cấp máy Server vùng DMZ o Cấu hình ZPF: đưa interface kết nối vùng DMZ làm thành viên (member) WAN zone - Các bước triển khai cấu hình Server: o Đặt IP address trỏ Default Gateway IP address DMZ interface Router o Kiểm tra lại cấu hình khai báo IP address dịch vụ DNS, Web, Mail… máy Server - Kiểm tra kết quả: o Từ máy Client thuộc mạng nội bộ:  Dùng PING để kiểm tra giao tiếp với vùng DMZ  Dùng NSLOOKUP để kiểm tra phân giải tên miền từ DNS Server vùng DMZ  Truy cập Web site cung cấp máy Server DMZ cách nhập vào Address trình duyệt: http://< IP Server> o Từ máy Server thuộc mạng DMZ:  Thử PING  Thử PING 8.8.8.8 kiểm tra giao tiếp mạng nội kiểm tra giao tiếp internet o Từ máy Client thuộc mạng Internet:  Thử PING  Thử truy cập Web site cung cấp máy Server vùng DMZ cách nhập vào Address trình duyệt: http:// Chuyên đề MMT&TT #1 Trang ... Zone-Pair) thực thi Policy- map o Nếu với Class-map (trong Policy- map) thực thi Action Nếu khơng xét Class-map o Tiếp tục xét hết Class-map Policy- map Triển khai Cisco Router hoạt động Firewall MƠ HÌNH... R0(config-cmap)# exit 3.1.3 Tạo Policy- map: - Tạo bảng sách (policy- map) tên LAN_WAN_POL, thực kiểm sốt (inspect) gói tin khớp với bảng phân loại LAN_WAN_CLS Minh họa: R0(config)# policy- map type inspect... từ Router - Máy PC giao tiếp internet (PING truy cập We, FTP, Game…) Triển khai “Zone-based Policy Firewall? ?? (ZPF) Cisco IOS Router: 3.1 Thực nghiệm triển khai ZPF Cisco Router với Class-map